En primera instancia es importante señalar que de acuerdo con el Marco Internacional para la práctica profesional de la Auditoría Interna, se define a esta como una actividad independiente y objetiva de aseguramiento y consulta, concebida para agregar valor y mejorar las operaciones de una organización. Desde esa perspectiva podríamos indicar que está cualificada para liderar un proyecto de ERM, dado su amplio conocimiento dentro de las organizaciones y sus procesos, su posición estratégica y su experiencia respecto de la vinculación entre riesgos, cumplimiento y gobernanza. Sin embargo, es importante dejar claro que dicho rol solo podrá ser ejecutado si y solo si la Auditoria Interna no asuma la responsabilidad de gestionar los riesgos; tarea exclusiva de quienes participan en la primera línea.
Por tal razón es necesario hacer un breve repaso de los principales roles de la Auditoría Interna relacionados con la gestión de riesgos:
- Proporcionar aseguramiento respecto a los procesos de gestión de riesgos
- Proporcionar aseguramiento respecto a la evaluación correcta de los riesgos
- Evaluar los procesos de la gestión de riesgos
- Evaluar la elaboración de informes sobre los riesgos clave
- Revisar la gestión de riesgos clave
Ahora indiquemos los roles legítimos de la Auditoría Interna pero que presentan limitaciones:
- Ser facilitador en la identificación y evaluación de los riesgos
- Asesorar a la dirección para dar respuesta a los riesgos
- Coordinar actividades de gestión de riesgos
- Elaborar informes consolidados de riesgos
- Mantener y desarrollar el marco de gestión de riesgo empresarial
- Liderar la implantación del sistema de gestión de riesgos
- Desarrollar la estrategia de gestión de riesgos para la aprobación del Consejo
Ahora señalemos aquellos roles que la Auditoria Interna NO debe desempeñar:
- Definir el apetito de riesgo
- Imponer procesos de gestión de riesgos
- Asumir funciones ejecutivas en el aseguramiento de riesgos
- Tomar decisiones sobre las respuestas a los riesgos
- Implementar respuestas a riesgos en nombre de la Direccion
- Asumir responsabilidad por la gestión de riesgos
Expuesto todo lo anterior, podríamos decir que, en las primeras etapas del desarrollo de la gestión de riesgos, la Auditoria Interna puede ser un coadyuvante de la organización funcionando como un catalizador de la iniciativa, y siendo un asistidor a la segunda línea. Con el proceso de madurez del sistema deberá ir desapareciendo este rol, hasta asumir su papel como prestador de servicios de aseguramiento consolidándose su posición en esa tercera línea.
Ante esta situación, cuando una Auditoria Interna asume un papel activo en el proceso de la gestión de riesgos, sus armas vitales como son la objetividad e independencia para identificar y reportar deficiencias podrían verse amenazadas o comprometidas. Por lo tanto, el DEA quien es el responsable de proteger esas armas deberá establecer medidas de salvaguardia y controles adicionales.
La experiencia global enmarca que dichas actuaciones en las organizaciones se deben principalmente al volumen de operaciones, tamaño o madurez del sistema; o incluso a la combinación de factores para producir una reducción de costos en el manejo del recurso humano calificado, otorgando al DEA, funciones y actividades de la segunda línea que vendrían asociadas a requisitos normativos o regulatorios, diversificación en el modelo de negocio o limitaciones o restricciones de recursos. Al estar frente a este esquema resulta relevante establecer las salvaguardas que permitan mantener la objetividad e independencia. A continuación, les expongo cuales serian las principales ante la materialización de un escenario así:
- Realizar evaluaciones periódicas de líneas de reporte y responsabilidades por la Alta Direccion y Alta Gerencia.
- Establecer un Estatuto de Auditoria el cual defina de manera clara los roles.
- Evaluar de manera externa los roles de segunda línea de auditoria interna y la eficacia de las disposiciones de independencia, objetividad y aseguramiento
- Revisar de manera permanente el programa de aseguramiento y mejora de la calidad
- Cuando las salvaguardas no son viables, y se produce conflicto, la función debe ser reasignada a través de servicios dados por un tercero.
En conclusión, podemos decir que cuando surge esta necesidad a nivel organizacional y se establece ese modelo debemos evaluar de manera consistente para garantizar su adecuado funcionamiento, aspectos principales como los siguientes: a) necesidades estructurales de la organización, b) recursos, c) líneas de tiempo y tareas, d) políticas y directrices sobre independencia, e) análisis y seguimiento de avances, y f) transparencia de la comunicación.
